監査は、監査対象と監査実施主体とに分けて整理すると分かりやすい(下図)。
監査対象は、会計情報とその結果を生み出す元となる業務の2つがある。前者を情報監査、後者を業務監査ということがある。会計監査で問題にするのは、会計という情報の適法性・適正性だ。その元となった業務の適法性・適正性までは問わない。業務まで踏み込むのが業務監査である。
監査主体のうち、会社内部の監査主体には監査役と内部監査部門がある。監査役の監査対象は、取締役の職務と会計情報なので、業務と情報の両方が監査対象である。
内部監査部門の監査対象は、従業員が行う一般的な業務だ。もちろん、取締役の職務も監査対象にしうる。しかし、一般従業員から成る組織が取締役の職務を監査することは現実的には難しいので、内部監査部門の主たる監査対象は一般業務になっていることが多い。
会社外部の監査主体は監査法人(会社法でいう「会計監査人」)だ。監査法人による監査は従来は会計監査に限られており、業務監査までは踏み込まないという厳格な線引きがあった。しかし、2001年に起きた米国エンロンの巨額粉飾事件を機に、結果である情報を監査するだけでは足りないという機運が高まり、監査法人が業務監査まで踏み込むこととなった。これが内部統制監査である。ただし、日本では内部統制そのものが監査対象なのではなく、内部統制を企業自らが評価した報告書が監査対象になっている。したがって、日本では「内部統制報告制度」と言われている。
なお、世界的には内部統制が監査対象となっているのは米国と日本ぐらいで、ヨーロッパやアジア各国では、やったとしても監査より簡易なレビュー止まりである。
監査役監査の根拠法は会社法、内部統制報告制度の根拠法は金融商品取引法、監査法人による財務諸表監査の根拠法は会社法と金融商品取引法の両方である。監査法人による監査義務が発生するのは、会社法では資本金5億円以上または負債200億円以上の会社(「大会社」という)であり、金融商品取引法では上場会社と上場準備中の会社である。